我现在正安坐在快乐穹顶(我的办公室)的指挥椅上,渴望得流口水,而不是像我平时那样,只是坐在这里流口水。我现在知道我想要一个“不可思议的安全”的SSD驱动器——事实上,如此安全,它使我宝贵的数据不可见,因为攻击者无法破坏他们看不到的东西。
我对这种难以置信的安全级别的新发现的渴望的原因-术语“不可思议的安全”已经被大胆的聪明的研究人员注册为商标Cigent-我刚刚和公司的战略联盟副总裁Tom Ricoy聊天。
然而,在我们喋喋不休地谈论西根特的奇迹之前,让我们先来看看场景。我设置的方式是,所有存储在我办公室台式电脑上的数据文件都会自动备份到云端,以我的Dropbox帐户。只要我复制、创建、删除、移动或对文件进行更改,这些更改就会立即反映在云中。
后来,当我晚上在家里打开记事本时,我白天所做的任何更改都会自动从云端同步到记事本上。当然,同样的场景也会以另一种方式出现——我对记事本电脑上的文件所做的任何更改都会自动反映到云端,并返回到我的办公机器上。
我不知道你是怎么想的,但有一件事让我害怕,那就是一些邪恶的黑客会偷偷溜进我的电脑系统,破坏、删除或加密我心爱的文件。我相信我们都熟悉勒索软件的概念,这是一种恶意软件,要么威胁要公布受害者的个人数据,要么对其加密并阻止访问,除非支付赎金(好像我有必要的资金来支付赎金)。
如果这样的病毒感染了我的系统并加密了我的文件,系统会简单地认为这些是修改,所以它会用这些新加密的版本替换云中的文件。好的一面是,Dropbox提供了一个“倒带”工具,可以让你把个人文件夹或整个账户带回特定的时间点。不利的一面是,无论从哪个角度来看,您都将浪费大量的时间和精力来清除和重建系统以及恢复文件。
那么,我们该如何着手保护我们宝贵的数据呢?正如我们之前在我的在休息时保护好你的数据,笨蛋!列,保护数字数据的第一步是理解,在不同的时间,它可能存在于三种不同的状态之一。这些状态是传输中的数据(也可称为动态数据或飞行数据),正在使用的数据,静止数据.传输中的数据是指通过网络流动的信息,包括私人公司网络和公共网络,如互联网。使用中的数据是指由软件程序访问和操作的活动数据,这些数据以非持久数字状态存储,通常存储在计算机的随机存取存储器(RAM)或与中央处理器(CPU)相关的缓存和寄存器中。最后,但同样重要的是,静态数据(DAR)是指物理上存储在存储设备中的数据,如硬盘驱动器(HDD)或固态驱动器(SSD)。(在接下来的讨论中,我们将重点讨论ssd,因为我们大多数人现在都有ssd,但我们将要讨论的大部分内容也适用于hdd。)
大多数人专注于使用杀毒软件和防火墙等工具保护他们使用中的数据和传输中的数据,但他们经常忽略存储在驱动器上的数据。如果你不采取任何措施来保护这些数据,那么如果有人拿走你的电脑并启动它,你所有的文件都会暴露出来。如果某些neerdowell将驱动器从你的电脑中滑出,并将其带到他们的巢穴,同样适用。(我们应该注意到,专业黑客可以绕过操作系统(OS)使用的用户名-密码安全组合,甚至不需要暂停呼吸。)
安全层次结构的下一步是使用加密。在这里,我们有两个选择:我们可以选择只加密我们的数据文件,或者我们可以选择加密包括操作系统在内的整个驱动器,其中后一种情况被称为全磁盘加密(FDE)。
如果我们决定执行FDE,我们仍然有两个选择:使用运行在主机计算机上的软件(SW)实现它(SWFDE),或者使用构成驱动器一部分的硬件加密引擎(EE)来完成它(HWFDE)。EE在将文件写入驱动器时自动加密文件,并在从驱动器读取文件时自动解密文件。除了向黑客暴露更大的攻击服务外,SWFDE还加载主机系统。相比之下,除了卸载主机系统外,HWFDE还为黑客提供了更小的攻击面。
执行HWFDE的驱动器称为SED (self- encryption drive)。因此,让我们假设我们正在使用SED,并且在操作系统启动之前执行授权获取(AA)—用户确认其诚意的过程。在这种情况下,我们说我们正在执行预引导授权(PBA),这意味着没有人可以在不提供正确授权的情况下引导操作系统。AA之后,数据加密密钥(DEK)被释放到SED的EE,这允许操作系统启动,文件对用户可见。不幸的是,在这个时候,任何与这台机器有有效网络连接的人都可以看到这些文件,这时它们就可以从我们的鼻子底下被窃取(你能拼写“bummer”吗?)
如果您是一家大型组织的信息技术(IT)经理和/或安全官员,另一件需要考虑的事情是,您通常不知道谁访问了哪些驱动器上的哪些文件。是的,操作系统当然会保存这类事情的访问日志。不幸的是,老练的黑客可以清除这些日志,使它们看起来好像从未存在过。
所有这些都把我们带回到聪明的小伙子和小伙子们Cigent.从一开始,Cigent就是一家有趣的公司。其联合创始人之一约翰·本克特(John Benkert)曾在美国空军(USAF)情报部门工作了20年,在国家安全局(NSA)工作了7年。在情报界的资助下,John组建了一个由存储、数据取证和网络安全方面的专家组成的团队,最终形成了最安全的数据安全解决方案,而我接下来要讨论的正是这个解决方案。
现在,这里有令人难以置信的丰富的狡猾能力,所以我只介绍几个诱人的品尝者,以满足你的幻想。如果,在读完我将要告诉你的东西之后,你想知道更多,那么西金特的男男女女们在期待中颤抖着,准备好并愿意解释,解释,再解释令人痛苦的细节。
纯粹为了讨论,让我们假设您有一个1TB的驱动器。如果您正在使用Cigent的解决方案,您可以这样设置,当您(或任何人)启动系统时,您只能看到驱动器的一半,其中包含操作系统和您决定在那里维护的任何不重要的数据文件(可能是转移注意力的东西)。您所有重要的数据文件都是完全不可见的,使用目前人类已知的任何技术都无法读取,从而保护它们免受各种形式的物理和远程攻击。只有您知道这些文件的存在,才允许您使它们变得可见。
您听说过零信任(ZT)安全模型吗?它的座右铭是“从不信任,始终验证”。这意味着在默认情况下,任何设备(如计算机)都不应被信任,即使它们连接到受管理的公司网络(如公司局域网),即使它们之前已经过验证。更进一步,Cigent的软件和硬件解决方案以文件访问控制的形式支持ZT文件访问,仅允许受信任的用户使用多因素身份验证(MFA)单独访问文件。
举个简单的例子,每次你试图打开一个文件时,系统都会提示你通过密码、智能手机上的验证应用、指纹、面部识别、CAC卡等方式进行身份验证。尽管这看起来可能过于繁重,但这取决于您对数据的重视程度。命中注定,我办公室电脑的操作系统出了个小故障,每次启动微软(Microsoft) office应用程序时,我都需要重新输入我的账户名。几个月前刚开始的时候,这是一种完全的下体疼痛,但现在我甚至不去想它。
最重要的是,我可以很容易地想象这样一种情况:MFA是由我显示器上的网络摄像头提供的,再加上我机器上运行的面部识别软件。或者,如果我有nVIAsoft的非接触式手部生物识别扫描仪,我所要做的就是在插入USB端口的扫描仪上挥手,以授予所需的访问权限(参见用于身份安全的非接触式手部生物识别技术).但是我们离题了…底线是使用Cigent的ZT功能可以同时击败零日勒索软件和正在使用的数据盗窃。
您还记得之前我说过,老练的黑客可以清除操作系统日志,包括任何文件访问,从而使它看起来好像它们从未存在过吗?cigent驱动的一个关键特征是它们自动维护自己的访问日志,这些日志安全存储在内部一个既不能被对手看到也不能被对手擦除的区域。这些日志随后可用于法医调查、事件响应、不可抵赖性,以及(可能的)诉讼。
但是,等等,还有更多……之前,我们讨论过一个1TB SED的情况,当它通电时,它看起来只有500GB的驱动器,因为任何数据都是不可见的。现在假设我们有一个2TB的SED,最初看起来是一个1TB的设备(它本身最初看起来是一个500GB的驱动器)。我想说什么?那么,如果在我温文尔雅的外表下,我真的是女王陛下特勤局的007½特工呢?如果我刚好从俄罗斯度假归来,如果我在海关被FSS(联邦安全局,苏联克格勃的主要继任者)逮捕,如果他们决定给我的笔记本电脑充电,他们看到的将是一台运行典型操作系统的无辜机器,里面装着一尘不染的无聊文件。没有迹象表明驱动器只有一部分是可见的。同样,谁能猜到硬盘本身配备了加速计,可以检测到预定义的手指敲击模式,从而切换到具有自己的操作系统和文件系统的Secret Squirrel分区。(另一种手指敲击模式可能会导致硬盘自动加密删除,即使笔记本电脑没有通电)。
最后,但并非最不重要的是,运行在Cigent驱动的驱动器上的固件拥有“保持心跳”功能,以确保Cigent的代码始终运行。如果攻击者设法禁用了Cigent的固件,则任何正在使用的数据都将立即变为不可见,从而防止对手设法禁用端点安全软件。
唷!一想到这一切,我就头疼,我们真的只触及了Cigent能力的表面。我所知道的是,我非常想给自己的电脑配备cigent驱动的驱动器。你呢?您是否参与了保护组织数据的工作,或者您认识某个人,或者您只是想确保您自己的数据不受窥探?如果是这样,你真的应该和Cigent的人谈谈,了解更多。
